Inditex sufre un “acceso no autorizado” a bases de datos con información de clientes

Madrid – El gigante de la moda española el grupo Inditex se ha convertido en la última gran corporación en ser víctima de un ciberataque, después de que se haya informado de un “acceso no autorizado” a bases de datos informáticas de la compañía con información de clientes de diferentes mercados. Una vulneración de sus registros, sobre la que no obstante se precisa que no ha afectado ni a información personal ni bancaria de sus clientes.

Según se han encargado de informar al respecto desde la misma dirección de Inditex a lo largo de un comunicado, la vulneración de las bases de datos con información de sus clientes se ha detectado en los servidores de uno de sus proveedores tecnológicos. Unas infraestructuras que han sufrido así un ciberataque que ha afectado tanto a Inditex como a otras compañías con actividad internacional, y tras el cual desde la multinacional de la moda española, compañía matriz de cadenas como Zara, Bershka, Pull&Bear o Massimo Dutti, han pasado a aplicar “inmediatamente” sus correspondientes protocolos de seguridad, así como a notificar la incidencia a las autoridades correspondientes. Todo ello como resultado de esa brecha de seguridad en los servidores de ese tercer proveedor tecnológico, en los que se encuentran alojadas las bases de datos de la compañía que se han visto comprometidas por el ataque informático. Un incidente sobre el que desde Inditex precisan, reiteramos siguiendo con lo ya señalado, que “en ningún caso” ha afectado a información personal y bancaria de los clientes, quienes “pueden seguir accediendo y operando con total seguridad”.

“Inditex ha identificado un acceso no autorizado a bases de datos de su organización alojadas en un tercero. Dichas bases de datos contienen información de la relación comercial con clientes de diferentes mercados, pero en ningún caso datos tales como nombre y apellidos, teléfono, domicilio, contraseñas, tarjetas bancarias u otros medios de pago”, han señalado desde la multinacional de la moda española a través del citado comunicado. Una vez detectada esa vulneración, “Inditex ha aplicado inmediatamente sus protocolos de seguridad y ha iniciado la notificación a las autoridades correspondientes sobre este acceso no autorizado, que tiene su origen en un incidente sufrido por un antiguo proveedor tecnológico que ha afectado a diversas compañías con actividad internacional”. Para el caso de la dueña de Zara, “las operaciones y los sistemas de Inditex no han sufrido afectación alguna” como resultado de ese ciberataque, y por tanto, se asegura, “los clientes pueden seguir accediendo y operando con total seguridad”.

Un creciente riesgo para las empresas

Con esta vulneración de sus bases de datos con información comercial de clientes de diferentes mercados, Inditex se suma a la creciente lista de empresas y grupos del sector que de un tiempo a esta parte han sido víctimas de brechas similares de ciberseguridad, tanto en estructuras propias como de terceros. Compañías entre las que encontramos como ejemplos más recientes a las vulneraciones detectadas por Nike, Mango, El Corte Inglés o Tendam, y para las que en el caso de las tres españolas sí se informó de vulneración de datos personales de sus clientes.

Sabedores de ese potencial riesgo, creciente a cada día y todavía más dentro de una compañía multinacional como Inditex, y desde la que además han adoptado como propio un modelo de negocio omnicanal, la compañía creó y puso en funcionamiento en 2023 un Comité Asesor de Ciberseguridad. Un órgano independiente de su Comisión de Auditoría y Cumplimiento, que mantiene como fin no otro que el de asesorar a la compañía en cuestiones relacionadas con la seguridad de la información y la ciberseguridad, a las que incluye entre los potenciales riesgos para la compañía, en términos tecnológicos, siguiendo con lo ya señalado “dado el elevado grado de digitalización e integración tecnológica del modelo de negocio” de Inditex. Una naturaleza que lleva a estimar a la compañía, tal y como se recoge en su Memoria Anual de 2025, que “la eventual materialización de incidencias de carácter tecnológico —derivadas, entre otros factores, de fallos de infraestructura, incidentes de ciberseguridad, errores en aplicaciones o dificultades en la interacción con terceros tecnológicos— podría tener un impacto transversal en la actividad del Grupo, afectando al normal desarrollo de los procesos operativos y comerciales”.

Con el fin de continuar mitigando esos potenciales riesgos, “a lo largo de 2025, continuamos reforzando nuestras capacidades de defensa para mejorar la detección y respuesta ante amenazas como los ataques DDoS, el credential stuffing y las vulnerabilidades de terceros”, tales como la que se acaba de identificar ahora, se añade desde la misma Memoria. Unos objetivos para los que, se precisa, la compañía cuenta con además un equipo especializado de ciberinteligencia, encargado de la monitorización continua y la detección temprana de riesgos y amenazas; y con un Centro de Operaciones de Seguridad (SOC) disponible las 24 horas del día, los 7 días de la semana, y encargado de la detección, análisis, notificación y resolución de los potenciales “eventos de seguridad” que puedan afectar a Inditex. Incidencias de las que en 2025 se llegaron a registrar hasta un total de 66 “eventos de interés”, de los cuales “los más relevantes” fueron “reportados al Comité de Seguridad de la Información”, pero en cualquier caso sin que “ninguno de estos eventos” terminase teniendo un “impacto reseñable en nuestras operaciones ni en nuestros estados financieros”. Cuestión que no resta para atender a cómo la ciberseguridad ha pasado a ser un área cada vez más crítica para las empresas, y de ahí que, junto a todo lo anterior, durante 2025 además de las acciones de detección y respuesta, desde Inditex llevasen a cabo la ejecución de medidas de prevención de intrusiones, y de programas de formación individuales sobre ciberseguridad, impartiendo formación especializada a más de 4 000 miembros de sus equipos.